NAT and PAT toàn tập NAT TRÊN THIẾT BỊ ROUTER 1. Giới thiệu NAT (Network Address Translation) là một chức năng của Router, cho phép chuyển dịch từ một địa chỉ IP này thành một địa chỉ IP khác. Thông thường NAT được dùng để chuyển dịch từ địa chỉ IP private sang IP public, cho phép các host từ mạng bên trong truy cập đến mạng công cộng (internet). Vị trí thực hiện NAT là nơi (router) kết nối giữa hai mạng. Địa chỉ private và địa chỉ public Địa chỉ private Được định nghĩa trong RFC 1918 10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255 · Địa chỉ public Các địa chỉ còn lại. Các địa chỉ public là các địa chỉ được cung cấp bởi các tổ chức có thẩm quyền 2. Static NAT Giới thiệu Static NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác, thông thường là từ một địa chỉ nội bộ sang một địa chỉ công cộng và quá trình này được cài đặt thủ công, nghĩa là địa chỉ ánh xạ và địa chỉ được ánh xạ được chỉ định rõ ràng tương ứng duy nhất. Static NAT rất hữu ích trong trường hợp những host cần phải có địa chỉ cố định để truy cập từ internet. Những host này có thể là những public server: mail server, web server, Cấu hình static - NAT Các lệnh được sử dụng trong cấu hình Static-NAT: Router(config)#ip nat inside source static local_ip global_ip Router(config-if)#ip nat inside Router(config-if)#ip nat outside Ý nghĩa các câu lệnh: - Thiết lập mối quan hệ chuyển đổi giữa địa chỉ nội bộ bên trong và địa chỉ đại diện bên ngoài. Router(config)#ip nat inside source static local-ip global-ip - Xác định interface kết nối vào mạng bên trong Router(config-if)#ip nat inside - Xác định interface kết nối ra mạng công cộng bên ngoài Router(config-fi)#ip nat outside Ví dụ: Cấu hình trên Router: Router(config)#ip nat inside sourece static 10.1.1.2 172.69.68.10 Router(config)#interface Ethernet 0 Router(config-if)#ip nat inside Router(config)#interface serial 0 Router(config-if)#ip nat outside 2. Dynamic NAT Giới thiệu Dynamic NAT được thiết kế để ánh xạ một địa chỉ IP này sang một địa chỉ khác một cách tự động, thông thường là ánh xạ từ một địa chỉ private sang một địa chỉ public. Bất kỳ một địa chỉ IP nào nằm trong dải địa chỉ IP công cộng (public) đã được định trước đều có thể được gán cho một host bên trong mạng (private). Cấu hình Dynamic NAT - Các câu lệnh dùng trong dynamic NAT Router(config)#ip nat pool name start_ip end_ip { netmask netmask | prefix-length prefix-length } Router(config)#access-list access-list-number permit source [source-wildcard] Router(config)#ip nat inside source list access-number pool pool-name Ý nghĩa sử dụng của các câu lệnh như sau: - Xác định dải địa chỉ đại diện bên ngoài (public): các địa chỉ NAT Router(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix- length] - Thiết lập ACL cho phép những địa chỉ nội bộ bên trong (private) nào được chuyển đổi : các địa chỉ được NAT Router(config)# access-list access-list-number pertmit source [source-wildcard] -Thiết lập mối quan hệ giữa địa chỉ nguồn đã được xác định trong ACL với dải địa chỉ đại diện ra bên ngoài Router(config)# ip nat inside source list access-list-number pool name - Xác định interface kết nối vào mạng nội bộ Router(config-if)# ip nat inside - Xác định interface kết nối ra bên ngoài Router(config-if)#ip nat outside Ví dụ: 3. NAT Overload Giới thiệu NAT Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều địa chỉ private thành một địa chỉ public (many – to – one) bằng cách sử dụng các chỉ số port khác nhau để phân biệt từng chuyển dịch. NAT Overload còn có tên gọi là PAT (Port Address Translation). PAT sử dụng số port nguồn cùng với địa chỉ IP riêng bên trong để phân biệt khi chuyển đổi. Số port được mã hóa 16 bit, do đó có tới 65536 địa chỉ nội bộ có thể được chuyển đổi sang một địa chỉ công cộng. Cấu hình NAT Overload - Dạng 1: Sử dụng chung một địa chỉ IP công cộng duy nhất. Router(config)#access-list access-number permit source source-wildcard Router(config)#ip nat inside source list access-list-number interface interface overload - Dạng 2: ISP cung cấp nhiều địa chỉ IP công cộng Xác định dãy địa chỉ bên trong cần chuyển dịch ra ngoài (private ip addresses range) Router(config)# access-list access-list-number permit source source-wildcard Xác định dãy địa chỉ sẽ đại diện ra bên ngoài (public ip addresses pool) Router(config)# ip nat pool name start-ip end-ip [netmask netmask/prefix-length prefix- length] Thiết lập chuyển dịch động từ các địa chỉ bên trong thành địa chỉ bên ngoài Router(config)# ip nat inside source list acl-number pool name overload Xác định interface inside và outside Đối với interface inside: router(config-if)#ip nat inside Đối với interface outside: router(config-if)#ip nat outside * PAP : R1 R2 + R1 : #conf t #hostname R1 #username R2 password cisco (lệnh này có ý nghĩa tạo 1 cặp username và password để khi R2 gửi đến thì so sánh để authen) #int s0 #ip add #encapsulation PPP #ppp authentication pap ( chọn kiểu authen là pap ) #ppp pap sent-username R1 password cisco (lệnh này có ý nghĩa là mình gửi cặp username password của chính mình đến router R2 đê authen ) #clock rate (nếu là DCE) #no shut +R2 : #conf t #hostname R2 #username R1 pass cisco #int s0 #ip add #encapsulation PPP #PPP authentication pap #ppp pap sent-username R2 pass cisco #no shut Cấu hình CHAP : 2 route R1 và R2 được kết nối trực tiếp với nhau như trong cấu hình PAP + Cấu hình R1 : #conf t #hostname R1 #username R2 password cisco #int s0 #ip add < ip address & subnet mask > #encapsulation ppp #ppp authentication chap #ppp chap hostname R1 #ppp chap password cisco #clockrate 64000 #no shut Ctrl+z #copy run start + cấu hình R2 : #conf t #hostname R2 #username R1 password cisco #int s0 #ip add < ip address & subnet mask > #encapsulation ppp #ppp authentication chap #ppp chap hostname R2 #ppp chap password cisco #clockrate 64000 #no shut Ctrl+z #copy run start Khi cấu hình CHAP: R1 R2 Mỗi đầu phải có khai báo username và password, username bên R1 phải là tên hostname của R2 và username khai báo bên R2 là hostname của R1, password hai bên phải giống nhau, không cần dùng lệnh "ppp chap hostname" Quá trình diễn ra xác thực bằng CHAP như sau: R1: hostname R1 username R2 password cisco R2: hostname R2 username R1 password cisco username R3 password cisco1 1. R1 quay số vào R2, khi đó nó sẽ gửi hostname của nó cho R2 đồng thời dùng thuật toán hashing để mã hóa password (ở đây là cisco), nhưng ko gửi password này đi 2. R2 check danh sách username (nếu cấu hình nhiều username) để tìm ra username nào giống hostname R1 (ở đây là username R1) 3. Sau khi tìm được username đó, nó dùng thuật toán hashing để mã hóa password tương ứng với username đó (ở đây password là cisco) 4. Nó gửi password đã được mã hóa sang R1, ở đây R1 sẽ so sánh password mà nó tự mã hóa trong bước 1 với password mã hóa mà nó vừa nhận được từ R2, nếu 2 cái này giống nhau thì xác thực thành công. Không giống như PAP truyền password clear-text, CHAP không truyền password dạng clear-text mà password chỉ được truyền sau khi đã mã hóa. Vậy thì khi nào phải dùng lệnh "ppp chap hostname"? người ta dùng lệnh này trong trường hợp tên hostname và username khác nhau. Theo ví dụ ở trên khi xác thực thì R1 sẽ gửi hostname của nó sang R2, nhưng nếu ta cấu hình "ppp chap hostname test" thì chuỗi username mà nó gửi sang R2 không phải là "R1" nữa mà là "test" và lúc này tương ứng bên R2 phải có dòng "username test password cisco". Phải làm như thế trong trường hợp mạng lớn và của nhiều đơn vị khác nhau, trong mạng của ĐV1 thì đặt tên hostname Router theo một quy tắc của họ, và mạng ĐV2 lại đặt Database username theo quy tắc của họ và không bên nào muốn sửa lại giá trị này. Khi đó nếu ĐV 1 muốn quay số sang ĐV 2 thì phải có lệnh: "ppp chap hostname <username khai bao ben DV2>" Còn trong trường hợp người ta chỉ muốn xác thực một chiều. VD như khi thuê bao quay số từ Router của mình sang Router của ISP thì chỉ cần Router của ISP xác thực thuê bao chứ thuê bao không cần xác thực ISP thì ta dùng lệnh sau trong cấu hình của thuê bao: "ppp authentication chap callin" . NAT and PAT toàn tập NAT TRÊN THIẾT BỊ ROUTER 1. Giới thiệu NAT (Network Address Translation) là một chức năng của Router, cho. được sử dụng trong cấu hình Static -NAT: Router(config)#ip nat inside source static local_ip global_ip Router(config-if)#ip nat inside Router(config-if)#ip nat outside Ý nghĩa các câu lệnh: -. định interface kết nối ra bên ngoài Router(config-if)#ip nat outside Ví dụ: 3. NAT Overload Giới thiệu NAT Overload là một dạng của Dynamic NAT, nó thực hiện ánh xạ nhiều địa chỉ private thành